Электронная жалоба OPEXUS до версии 10.1.0.0 позволяет неаутентифицированному злоумышленнику получить или угадать существующий номер дела и загрузить произвольные файлы через «Portal/EEOC/DocumentUploadPub.aspx». В некоторых случаях пользователи могли видеть эти неожиданные файлы. Загрузка большого количества файлов может занимать дисковое пространство.
Показать оригинальное описание (EN)
OPEXUS eComplaint before version 10.1.0.0 allows an unauthenticated attacker to obtain or guess an existing case number and upload arbitrary files via 'Portal/EEOC/DocumentUploadPub.aspx'. Users would see these unexpected files in cases. Uploading a large number of files could consume storage.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Opexustech Ecase_Ecomplaint
cpe:2.3:a:opexustech:ecase_ecomplaint:*:*:*:*:*:*:*:*
|
— |
10.1.0.0
|